WTF: Polizei rückte Samstagnacht wegen Zero-Day aus

Die schwere Sicherheitslücke in den Produkten Windchill und FlexPLM rief am Wochenende die Polizei in ganz Deutschland auf den Plan. Auf Veranlassung des Bundeskriminalamts (BKA) rückten bundesweit Polizisten aus, um betroffene Unternehmen zu alarmieren – ein nie dagewesener Vorgang. Die derart um ihr Wochenende gebrachten Admins zeigten sich irritiert – einige nutzen die gefährdete Software nicht einmal.

Als die Redaktion am späten Sonntagvormittag einen Hinweis erhielt, es gebe eine kritische Sicherheitslücke in Windchill und FlexPLM, klang das nach einer Routinemeldung: Eine Deserialisierungslücke in Spezialsoftware, obgleich mit CVSS-Höchstwertung von 10 versehen, erzeugt bei heise security keine hektischen Flecken. Ganz anders offenbar beim BKA: Das hatte zu diesem Zeitpunkt bereits die Landeskriminalämter (LKA) in verschiedenen Bundesländern alarmiert, welche nächtens Polizisten zu betroffenen Unternehmen schickten. Wie uns mehrere Leser im Forum meldeten, standen zu nachtschlafender Zeit Polizisten vor Firmen- und Privaträumen.

Morgens, halb vier in Deutschland

Ihre ungewöhnliche Mission: Die Beamten übergaben verschlafenen Admins eine Kopie des Schreibens, das Hersteller PTC bereits am Vortag an alle Kunden versandt hatte und das die Anleitung zu einem Hotfix enthält. Ein Betroffener berichtet: „Die Polizei stand auch bei uns nachts um halb 4 vor der Tür. Ein Produktionsmitarbeiter hat dann den Geschäftsführer informiert, der mich bzw. einen Kollegen informiert hat.“ Er wundert sich über die Dringlichkeit der Aktion: „Unsere Server sind nur intern erreichbar und können nicht ins WAN kommunizieren. Die Anzahl der zugriffsberechtigten Clients ist auch stark eingeschränkt (anderes VLAN).“

Ein anderer Leser erhielt gegen 2:45 Uhr am Sonntagmorgen einen Anruf, den er als Witz auffasste – bis die Polizei kurz darauf an der Haustür klingelte. Und das obendrein vergebens: Zwar nutze sein Unternehmen PTC-Produkte, doch nicht die von der Sicherheitslücke betroffenen.

Auf unsere Nachfrage bestätigen mehrere Landeskriminalämter das Vorgehen. In einer Stellungnahme schreibt das LKA Thüringen: „Das Bundeskriminalamt übermittelte an das LKA Thüringen eine Liste mit betroffenen Unternehmen mit Sitz in Thüringen. Die Zentrale Ansprechstelle Cybercrime (ZAC) Thüringen veranlasste daraufhin die persönliche Kontaktaufnahme und versuchte bei Nichtantreffen, den Kontakt telefonisch herzustellen. Ziel war eine möglichst schnelle Sensibilisierung und Einleitung von Schutzmaßnahmen. Die erreichten Unternehmen waren bereits durch die Firma PTC Inc. informiert worden und haben Sicherungsmaßnahmen ergriffen.“

BKA, PTC, BSI – MfG

Das koordinierte und extrem personalaufwändige Vorgehen – unter der Hand ist von über tausend betroffenen Kunden in Deutschland die Rede – ist sehr ungewöhnlich und in Deutschland bislang einzigartig. Zumal weder die in Deutschland für IT-Sicherheit zuständige Bundesbehörde, das BSI, noch ihr US-Pendant CISA (Cybersecurity & Infrastructure Security Agency) bislang sonderlich lautstark warnen. Das BSI veröffentlichte am Montagmittag einen Hinweis im Warn- und Informationsdienst, die CISA schweigt sich aus. In ihrer „Known Exploited Vulnerabilities“-Liste ist der jüngste Eintrag vom 20. März und betrifft Apple-Produkte.

Wir haben das BKA, das BSI und Hersteller PTC um eine Stellungnahme zu diesem sehr ungewöhnlichen Vorgehen gebeten. Während PTC und BKA am frühen Montagnachmittag noch nicht geantwortet hatten, äußerte sich das BSI zurückhaltend. Ein Sprecher teilte uns mit, zu den Bewertungskriterien für Sicherheitslücken „gehören insbesondere die Charakteristika der Schwachstelle selbst, allerdings auch die Verbreitung des Produkts und weitere – ggf. entschärfende – Rahmenbedingungen. Ein entscheidender Punkt ist die Information der Anwenderinnen und Anwender durch den Hersteller selbst. Nach Kenntnis des BSI ist die Information des Herstellers an alle Kundinnen und Kunden erfolgt.“ Zudem habe das BSI KRITIS-Betreiber separat informiert, sagte der Amtssprecher weiter: „Hierin liegt ein Vorteil der Registrierung im BSI auch im Rahmen von NIS2.“

Schrödingers IoC

Irritierend ist auch PTCs offizieller Standpunkt, man habe derzeit „keinen Beweis für eine bestätigte Ausnutzung, die PTC-Kunden betrifft“. Denn: Wenige Zeilen unter diesem offenbar zur Kundenberuhigung gedachten Satz nennt PTC sehr konkrete Indicators of Compromise (IoC), darunter die Anwesenheit einer bestimmten Klassendatei (GW.class) auf angegriffenen Systemen. Sei diese Datei auf einem Windchill-Server anzutreffen, weise dies darauf hin, „dass der Angreifer das System erfolgreich waffenfähig gemacht hat, bevor er eine Remote Code Execution (RCE) ausführte“. Schrödingers IoC: Zwar existiert ein Angreifer und es existiert Schadcode auf Zielsystemen – erfolgreiche Angriffe gab es aber nach eigener Aussage nicht.

Auch zu dieser Diskrepanz haben wir PTC um eine Stellungnahme gebeten. Bis zum frühen Montagnachmittag hatte der Hersteller zudem noch keine Patches für die Sicherheitslücke veröffentlicht, auch eine CVE-ID sucht man in den üblichen Datenbanken noch immer vergebens. Diese ist jedoch notwendig, um die Aufnahme in strukturierte Listen, etwa in den CTI-Feeds (Cyber Threat Intelligence) sicherzustellen.

(cku)